Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
- Carenza di competenze di cybersecurity: un quarto delle imprese vuole affidarsi agli MSP
- Black Friday ghiotto per il cybercrimine: in vendita 30 milioni di dati di utenti italiani
iPhone rubato? Attenzione al phishing!
Un gruppo di cyber-criminali ha messo a punto un sistema per rubare le credenziali ai proprietari degli iPhone rubati.
Un vero business che punta a rubare le credenziali di accesso al servizio iCloud di chi ha subito il furto di un dispositivo mobile Apple. È questo il panorama che emerge da un’inchiesta pubblicata dal giornalista Brian Krebs, che nel suo articolo ricostruisce passo per passo la scoperta di un sistema online pensato per truffare gli utenti Apple e che Krebs ha battezzato “iPhishing”.
Stando alla ricostruzione, si tratterebbe, in pratica, di un “servizio” pensato per consentire ai racket criminali che sono in possesso di un dispositivo rubato di rubare le credenziali per accedere all’account iCloud del legittimo proprietario ed eseguire il reset, in modo da poterlo rivendere.
Il giornalista racconta la vicenda come gliel’ha riportata un conoscente, di cui Krebs non rivela l’identità e che identifica con il nome fittizio di “John”.
Tutto cominciò quando John venne contattato da un amico il cui figlio, qualche mese prima, aveva subito il furto di un’iPhone. A distanza di tempo il genitore aveva ricevuto uno strano SMS, apparentemente inviato da Apple, in cui gli veniva notificato il ritrovamento del telefono. Il messaggio conteneva anche un link che avrebbe dovuto permettere al legittimo proprietario di localizzare l’iPhone.
Look professionale e terribilmente simile al sito originale. Peccato che sia una copia.
Una volta aperto, il collegamento conduceva a una falsa pagina di iCloud con i campi di login. John partì da lì per capire che cosa ci fosse dietro.
Il sito, come verificò in seguito John, faceva in realtà riferimento a un server russo. Indagini successive, però, gli permisero di individuare dei collegamenti con altri paesi e, in particolare, con Messico, Colombia, Ecuador e Argentina.
La cosa più interessante, però, era che il server in questione comunicava con una certa frequenza con due siti: imei24.com e imeidata.net, che offrono la possibilità di ottenere informazioni su qualsiasi dispositivo mobile partendo dal codice identificativo IMEI.
In particolare, i siti consentono di sapere se il dispositivo in questione consente di sapere se la funzione “Trova il mio iPhone” è attiva e addirittura se sia stato attivato il blocco del dispositivo o ne sia stato denunciato il furto.
Una volta chiarito senza ombra di dubbio che si trattava di una truffa, John decise di approfondire la questione e concentrò l’attenzione sul sito e, in particolare, su quanto si potesse nascondere tra le sue pieghe.
Il collegamento ricevuto dall’amico, per esempio, puntava alla pagina “login.php”. Cosa ci sarà mai stato nella pagina iniziale “index.php”?
La curiosità venne premiata in una manciata di secondi, quando sullo schermo comparve una pagina di login impreziosita da una veste grafica piuttosto esplicita: una “reinterpretazione” del logo Apple in cui la mela era sostituita da un teschio con le proverbiali ossa incrociate.
I pirati che hanno messo in piedi il sito si sono preoccupati di dargli anche un aspetto accattivante. E, bisogna ammetterlo, ci sono riusciti.
Quello in cui John si era imbattuto, quindi, non era un semplice server utilizzato per coordinare gli attacchi, ma un vero e proprio servizio online che forniva un servizio a pagamento accessibile a chiunque volesse fare il suo ingresso nel magico mondo delle truffe online.
Analizzando il codice della pagina, John riuscì anche a estrarre alcune delle credenziali e a “indovinarne” la password.
Da lì John proseguì la sua indagine (nell’articolo di Brian Krebs ci sono tutti i dettagli) fino a individuare il presunto gestore del servizio. Come? Come scrive Krebs, nel modo “più ironico e ridicolo possibile”.
L’autore della truffa, infatti, aveva commesso un errore madornale: per provare l’efficacia del sistema, lo aveva usato su sé stesso, dimenticando però di cancellare le informazioni conservate sul server.
Insomma: John ha potuto accedere al suo account iCloud e fare piena luce sull’identità del pirata informatico (che è risultato essere un giovane residente in Ecuador) arrivando addirittura a localizzarne la posizione attraverso… la funzione “Trova il mio iPhone”.
Condividi l'articolo
PetrWrap: ecco la versione “piratata” del ransomware Petya
Ricercatore decripta un ransomware e i pirati lo attaccano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
